Amazon Confirme que des Données d'Employés Ont Été Volées Après un Piratage de Fournisseur

Lundi, le géant du commerce électronique Amazon a confirmé que certaines de ses données d’employés avaient été compromises à la suite d’un « événement de sécurité » chez l’un de ses fournisseurs de gestion immobilière tiers (via TechCrunch).

Malgré la gravité de l’incident de sécurité, la société a assuré que ses propres systèmes, y compris ceux d’Amazon Web Services (AWS), restent sécurisés.

Elle a également ajouté que la violation de sécurité chez le fournisseur était limitée aux coordonnées professionnelles, comme les e-mails de travail des employés, les numéros de téléphone de bureau et les emplacements des bâtiments, et aucune information sensible, comme les numéros de sécurité sociale ou les données financières, n’a été compromise.

« Les systèmes d’Amazon et d’AWS restent sécurisés, et nous n’avons pas connu d’événement de sécurité », a déclaré Adam Montgomery, un porte-parole d’Amazon, dans un communiqué à TechCrunch.

« Nous avons été informés d’un événement de sécurité chez l’un de nos fournisseurs de gestion immobilière qui a impacté plusieurs de ses clients, y compris Amazon. La seule information d’Amazon impliquée était les coordonnées professionnelles des employés, par exemple, les adresses e-mail de travail, les numéros de téléphone de bureau et les emplacements des bâtiments. »

Bien qu’Amazon n’ait pas divulgué le nombre d’employés affectés, elle a mentionné que la vulnérabilité de sécurité responsable de la violation de données a depuis été résolue chez le fournisseur.

La confirmation d’Amazon fait suite à un rapport du fournisseur de cybersécurité Hudson Rock, qui a repéré les informations volées publiées sur le forum de piratage par un acteur malveillant utilisant le pseudonyme « Nam3L3ss ».

Il a déclaré que les informations volées publiées sur BreachForums, un site notoire dans la communauté du piratage, comprenaient des données d’Amazon et de 24 autres grandes organisations, y compris MetLife, HP, HSBC et Postes Canada.

Selon Hudson Rock, l’acteur malveillant prétend posséder plus de 2,8 millions de lignes d’informations de contact d’employés d’Amazon, y compris leurs noms complets.

La société a également rapporté que l’acteur malveillant prétendait avoir divulgué moins de 0,001 % des données volées au total, promettant d’autres publications à l’avenir.

La société de cybersécurité indique que les informations volées remontent à mai 2023, lorsque une vulnérabilité critique de type zero-day dans MOVEIt, une plateforme de transfert de fichiers populaire utilisée par de nombreuses entreprises, a été exploitée.

Cette faille a permis à un attaquant non authentifié de contourner les protocoles d’authentification par le biais d’une injection SQL, permettant potentiellement un accès non autorisé à la base de données MOVEit Transfer et l’accès à des données sensibles.

La notoire bande de rançongiciels et d’extorsion Clop aurait été à l’origine de la violation MOVEit, qui a été le plus grand piratage de 2023.

Par exemple, le Département des Transports de l’Oregon aux États-Unis a eu 3,5 millions de dossiers volés.

En revanche, le Département de la Politique et du Financement des Soins de Santé du Colorado et un entrepreneur gouvernemental américain, Maximus, ont eu respectivement 4 millions et 11 millions de dossiers volés.